Ressourcen für Informationssicherheit

Die Einhaltung eines bestimmten Sicherheitsniveaus erfordert immer finanzielle, personelle und zeitliche Ressourcen, die von der Leitungsebene ausreichend bereitgestellt werden müssen. Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderlichen Ressourcen nicht bereitgestellt haben. Um die gesetzten Ziele nicht zu verfehlen, ist es wichtig, schon bei der Festlegung der Ziele eine erste Kosten-Nutzen-Schätzung durchzuführen. Im Laufe des Sicherheitsprozesses sollte dieser Aspekt weiterhin eine entscheidende Rolle spielen, einerseits, um keine Ressourcen zu verschwenden, und andererseits, um die notwendigen Investitionen zur Erreichung des angemessenen Sicherheitsniveaus zu gewährleisten.[1]


[1] BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), S. 22.

Ähnliche Einträge